CVE-2026-42195

Nome do Software Vulnerável e Versões Afetadas draw.io versões anteriores a 29.7.9

Descrição O aplicativo aceita um parâmetro de URL gitlab que substitui a URL do servidor GitLab usada durante a autenticação OAuth. Um invasor pode usar um link manipulado para fazer com que a caixa de diálogo "Authorize in GitLab" abra um popup em um host sob seu controle em vez do gitlab.com legítimo. Esse comportamento pode levar ao phishing de credenciais e à exfiltração de tokens de estado de sessão.

Recomendações Atualize para a versão 29.7.9.